Byebye 60-day password expiration
by Volker Weber
For many years, Microsoft has published a security baseline configuration: a set of system policies that are a reasonable default for a typical organization. This configuration may be sufficient for some companies, and it represents a good starting point for those corporations that need something stricter. While most of the settings have been unproblematic, one particular decision has long drawn the ire of end-users and helpdesks alike: a 60-day password expiration policy that forces a password change every two months. That reality is no longer: the latest draft for the baseline configuration for Windows 10 version 1903 and Windows Server version 1903 drops this tedious requirement.
I wonder how many years it will take for Enterprise IT to catch up.
Comments
At least one can say: Shots fired.
60! ;-)
Solange in Deutschland das BSI im IT Grundschutz seine Meinung dazu nicht ändert, wohl nicht so schnell.
BSI Grundschutz ist das eine.
Viele in der IT haben nicht mehr die Motivation neues zu tun und halten lieber an alten Dingen fest - "Die man kennt und beherrscht".
So lange hinter Firewalls und Jump-Servern noch Windows XP Maschinen mit Teamviewer stehen, die ach so wichtige "Businesskritische Applikationen" betreiben, werden wir auch noch Passworte sehen...
Anlagen aus den 80ern mit DOS 6.22 - Passworte.
Motivationen und Gründe dafür sind hinlänglich bekannt.
In den o.g. Szenarien würde das BSI rennen.
Das ist leider Realität.
Das findet man überall.
Nachdem sie es hier in einem DAX-30-Konzern mal mit 35 Tagen oder so versucht haben, wurde es vor einigen Jahren schon auf 90 Tage geändert. Das war wahrscheinlich den Top-Managern zu nervig. :)
Neulich haben wir endlich einige interne Windows (NT!)-Rechner vom Login mit Passwort "admin" umgestellt... Wenn interne Geldgeber keinen "Pott" für Upgrades bekommen, dauert es halt alles etwas.
Vorteil am NT Rechner: Der ist mittlerweile so alt, das die Chance steigt, dass die Malware damit nix anfangen kann.....
@Patrick: Berichten zufolge hat WannaCry bereits auf Windows XP SP1 nur noch einen BlueScreen erzeugt... :-)
My employer (one of the biggest companies in this country) just changed the minimum password length to 15 and got rid of the expiration policy for our main accounts. Instead there is some routine running all the time which checks the passwords. If it can crack yours then you’ll be forced to change your password. This way only people with weak passwords will be bothered and will hopefully learn.
Now there is only one problem left: too many systems which do not use the main account.
argument against no expiration: users use work password also on private accounts (like spotify).
Problem with that: on of these private accounts lands one a password list and then the company account is easily hacked
Or do I miss s.th. here?
First: It is very unlikely that they use their company ID as their Spotify ID. But more importantly, passwords are unsafe, even if they are changed every 60 days. You need to do better.
